Защита персональных данных в 2025: как работать с ПД за пределами России в соответствии с 152-ФЗ
время публикации: 10:00 30 июня 2025 года
@ Freepic на основании лицензии INV-C-2024-8250540 (AI-generated)
Сегодня расскажем, что важно учесть, чтобы наладить работу в новых условиях и предотвратить риски, связанные с утечкой персональных данных. Рассказывает эксперт — Даниил Царьков, руководитель направления юридических услуг группы компаний DV Consulting.
Новая редакция части 5 статьи 18 Федерального закона №152-ФЗ «О персональных данных» содержит изменения, касающиеся обработки информации о гражданах РФ. Главное – прямой запрет на сбор, запись, систематизацию, накопление, хранение, обновление, изменение и извлечение персональных данных россиян с использованием баз данных, находящихся за пределами территории Российской Федерации, включая сбор через интернет.
Если раньше ответственность за обеспечение всех этих действий возлагалась исключительно на оператора персональных данных, то теперь новые требования распространяются и на обработчиков, действующих по поручению оператора. Спектр организаций, обязанных соблюдать требования локализации, расширяется.
Исключения из этого правила существуют, но строго ограничены случаями, предусмотренными пунктами 2, 3, 4 и 8 части 1 статьи 6 152-ФЗ и требующими веских оснований.
Трансграничная передача информации после ее первичного сбора и фиксации на территории России остается возможной при соблюдении ряда условий.
Для трансграничной передачи ПД оператор и обработчик должны:
1.Направить в Роскомнадзор отдельное уведомление установленной формы. Оно отличается от уведомления о начале обработки ПД.
2.Иметь законные основания для передачи данных, к которым относятся:
— согласие субъекта ПД;
— исполнение договора с субъектом;
— требование закона или международного договора РФ;
— защита жизни или здоровья субъекта;
— осуществление правосудия;
— исполнение полномочий органа государственной власти;
— законные интересы оператора/третьих лиц, не нарушающие права субъекта;
— журналистская, научная и творческая деятельность;
— статистические и исследовательские цели с обязательным обезличиванием данных.
3.Обеспечить конфиденциальность передаваемой информации посредством:
— шифрования по ГОСТ;
— сегментации сети;
— внедрения журналов доступа;
— использования DLP-систем (систем предотвращения утечек данных);
— заключения соглашений о неразглашении (NDA) с получателями данных.
По нашим прогнозам, поправки в 152-ФЗ приведут к:
● усилению контроля над утечками и трансграничным экспортом данных;
● снижению объема открытых баз данных с ПД на 15-20%;
● сокращению риска массовых утечек на 15-20% (данные РКН за IV квартал 2024 года);
● достижению 80% уровня соответствия ФЗ-152 в бизнес-сегменте к концу 2026 года;
● снижению количества крупных утечек минимум на 25% к концу 2026 года.
Для соблюдения всех требований понадобятся значительные инвестиции. В первый год после введения поправок ожидается рост рынка аутсорс-аудита, сопровождающийся повышением цен, и увеличение среднего чека на услуги по юридической безопасности на 30-40%.
Перечислим основные шаги, требующие немедленной реализации в соответствии с новым законом.
● Инвентаризация и классификация персональных данных и используемых информационных систем. Проведите полный учет всех обрабатываемых персональных данных, классифицируйте их по категориям и определите, какие системы используются для их хранения и обработки.
● Миграция данных в российские дата-центры. Спланируйте и осуществите перенос всех баз данных с ПД на территорию России.
● Обновление политики конфиденциальности и форм согласий на обработку ПД. Убедитесь, что ваши текущие формы согласий и политики конфиденциальности отражают новые требования законодательства и информируют субъектов ПД об изменениях.
● Заключение договоров с третьими лицами, привлекаемыми к обработке ПД. Оформите договорные отношения со всеми контрагентами, осуществляющими обработку ПД по вашему поручению, четко определив их обязанности и ответственность за соблюдение требований 152-ФЗ.
● Уведомление Роскомнадзора о трансграничной передаче данных и регистрация в Реестре трансграничных передач. При необходимости осуществления трансграничной передачи ПД своевременно направьте уведомление в Роскомнадзор и пройдите процедуру регистрации.
● Разработка регламента реагирования на инциденты и формы уведомления об утечке ПД (в течение 24 часов). Подготовьте четкий алгоритм действий в случае утечки персональных данных и разработайте форму уведомления, обеспечивающую оперативное информирование Роскомнадзора (в течение 24 часов).
● Пересмотр договоров с иностранными контрагентами в соответствии с новыми требованиями закона. Внесите в договоры с иностранными партнерами и SLA положения о защите ПД в соответствии с российским законодательством и обязательства по уведомлению об инцидентах в течение 24 часов.
● Проведение пентеста и независимого аудита на соответствие требованиям 152-ФЗ (рекомендуем). Оцените текущий уровень защиты ПД и выявите потенциальные уязвимости с помощью привлеченного внешнего консультанта.
● Выбор оптимального способа локализации ПД для вашей организации. Определите подходящий метод локализации данных с учетом специфики бизнеса и технических возможностей.
@ Freepic на основании лицензии INV-C-2024-8250540
Итак, новые правила защиты персональных данных требуют, чтобы информация о россиянах хранилась на территории страны. Перед бизнесом встает вопрос: как этого добиться? Есть три основных варианта, каждый со своими плюсами и минусами.
Берем и переносим все базы с персональными данными в российские дата-центры.
Плюсы:
● самый безопасный вариант с юридической точки зрения – минимум шансов столкнуться со штрафами;
● легче общаться с Роскомнадзором, когда нужно что-то объяснить.
Минусы:
● дорого и сложно — придется потратиться на новое оборудование, лицензии, каналы связи;
● текущие расходы тоже вырастут на 10-30%.
Отделяем «российскую» часть данных от остального объема и перевозим только ее в Россию.
Плюсы:
● дешевле, чем полный переезд;
● внедрить можно быстрее.
Минусы:
● легче наделать ошибок при настройке;
● сложнее доказать Роскомнадзору, что вы все сделали правильно.
Используем иностранные сервисы (например, платформы для общения с клиентами), но только для передачи данных, а не для их сбора. Важно, чтобы сервис не хранил персональные данные и соответствовал российским законам.
Скорее всего, оптимальным будет гибридный подход – когда вы комбинируете разные способы. Это обычно и быстрее, и дешевле. Но если вы работаете в сфере, где риски особенно высоки (например, финансы или здравоохранение), лучше все-таки выбрать полный переезд – так надежнее.
Читайте также: Как e-commerce и ритейлу работать с персональными данными после изменений в законодательстве
Результаты опроса РАЭК, проведенного в апреле 2025 года, и данные DV Consulting рисуют следующую картину:
● Крупный бизнес (топ-100 корпораций) — уровень готовности приближается к 80%. Многие компании завершили миграционные проекты, хотя некоторые используют гибридные решения, требующие дополнительной аттестации.
● Средний бизнес (500+ сотрудников) — общая готовность составляет около 55%. На момент опроса основная работа по подготовке документации и подаче уведомлений находилась в завершающей стадии.
● Малый бизнес и digital-агентства — уровень готовности оценивается примерно в 35%. Основным препятствием остаются значительные капитальные затраты на обновление инфраструктуры и приобретение компетенций в области шифрования трафика.
Что ждет компании, не успевшие подготовиться к новым требованиям по защите персональных данных к 1 июля 2025 года?
С 30 мая 2025 года Федеральным законом №420 введены оборотные штрафы за утечки ПД, размер которых привязан к доходу компании. Допустившие небрежное обращение с данными организации и ИП могут получить штраф от 3 до 15 млн рублей в зависимости от количества пострадавших граждан. За повторные нарушения штраф составит минимум 3% от годовой выручки (но не менее 20 млн рублей), а максимальная сумма может достигать 500 млн рублей.
С декабря 2024 года действует уголовная ответственность за незаконное обращение с персональными данными. В частности, за утечку конфиденциальной информации за рубеж предусмотрено лишение свободы сроком до 8 лет (ч.4 ст.272.1 УК РФ).
Для эффективного анализа бизнес-процессов и выявления потенциальных рисков рекомендуем провести внешний аудит. Это позволит сэкономить до 40% времени внутренней команды. Комплексный аудит от сторонней организации обходится на 25-40% дешевле, чем формирование особой группы из сотрудников компании.
Подготовка к новым требованиям 152-ФЗ – это не просто соблюдение закона, а инвестиция в безопасность данных, репутацию компании и долгосрочный успех бизнеса. Не откладывайте необходимые меры на последний момент, чтобы избежать серьезных финансовых и репутационных потерь.
С 1 июля вступает в силу обновленная редакция Федерального закона №152-ФЗ «О персональных данных». Вносятся существенные коррективы в порядок обработки и защиты личной информации граждан — персональные данные теперь должны быть локализованы на территории Российской Федерации.
Сегодня расскажем, что важно учесть, чтобы наладить работу в новых условиях и предотвратить риски, связанные с утечкой персональных данных. Рассказывает эксперт — Даниил Царьков, руководитель направления юридических услуг группы компаний DV Consulting.
Прямой запрет на иностранные базы данных и расширение ответственности за ПД: как это работает?
Новая редакция части 5 статьи 18 Федерального закона №152-ФЗ «О персональных данных» содержит изменения, касающиеся обработки информации о гражданах РФ. Главное – прямой запрет на сбор, запись, систематизацию, накопление, хранение, обновление, изменение и извлечение персональных данных россиян с использованием баз данных, находящихся за пределами территории Российской Федерации, включая сбор через интернет.
Если раньше ответственность за обеспечение всех этих действий возлагалась исключительно на оператора персональных данных, то теперь новые требования распространяются и на обработчиков, действующих по поручению оператора. Спектр организаций, обязанных соблюдать требования локализации, расширяется.
Фактически введен полный запрет на любые первичные манипуляции с персональными данными граждан РФ с использованием иностранных ресурсов, в том числе на прямой сбор конфиденциальной информации в зарубежные базы данных.
Исключения из этого правила существуют, но строго ограничены случаями, предусмотренными пунктами 2, 3, 4 и 8 части 1 статьи 6 152-ФЗ и требующими веских оснований.
Поправки касаются именно первоначального сбора и фиксации персональных данных. Трансграничная передача информации, использование иностранных CRM-систем и обработка данных в зарубежных корпоративных системах в ряде случаев возможны, но нужно тщательно оценивать соответствие всех действий действующему законодательству.
Обработка ПД за пределами России: когда это возможно?
Трансграничная передача информации после ее первичного сбора и фиксации на территории России остается возможной при соблюдении ряда условий.
Для трансграничной передачи ПД оператор и обработчик должны:
1.Направить в Роскомнадзор отдельное уведомление установленной формы. Оно отличается от уведомления о начале обработки ПД.
2.Иметь законные основания для передачи данных, к которым относятся:
— согласие субъекта ПД;
— исполнение договора с субъектом;
— требование закона или международного договора РФ;
— защита жизни или здоровья субъекта;
— осуществление правосудия;
— исполнение полномочий органа государственной власти;
— законные интересы оператора/третьих лиц, не нарушающие права субъекта;
— журналистская, научная и творческая деятельность;
— статистические и исследовательские цели с обязательным обезличиванием данных.
3.Обеспечить конфиденциальность передаваемой информации посредством:
— шифрования по ГОСТ;
— сегментации сети;
— внедрения журналов доступа;
— использования DLP-систем (систем предотвращения утечек данных);
— заключения соглашений о неразглашении (NDA) с получателями данных.
По нашим прогнозам, поправки в 152-ФЗ приведут к:
● усилению контроля над утечками и трансграничным экспортом данных;
● снижению объема открытых баз данных с ПД на 15-20%;
● сокращению риска массовых утечек на 15-20% (данные РКН за IV квартал 2024 года);
● достижению 80% уровня соответствия ФЗ-152 в бизнес-сегменте к концу 2026 года;
● снижению количества крупных утечек минимум на 25% к концу 2026 года.
Для соблюдения всех требований понадобятся значительные инвестиции. В первый год после введения поправок ожидается рост рынка аутсорс-аудита, сопровождающийся повышением цен, и увеличение среднего чека на услуги по юридической безопасности на 30-40%.
Что необходимо предпринять для соответствия новым требованиям
Перечислим основные шаги, требующие немедленной реализации в соответствии с новым законом.
● Инвентаризация и классификация персональных данных и используемых информационных систем. Проведите полный учет всех обрабатываемых персональных данных, классифицируйте их по категориям и определите, какие системы используются для их хранения и обработки.
● Миграция данных в российские дата-центры. Спланируйте и осуществите перенос всех баз данных с ПД на территорию России.
● Обновление политики конфиденциальности и форм согласий на обработку ПД. Убедитесь, что ваши текущие формы согласий и политики конфиденциальности отражают новые требования законодательства и информируют субъектов ПД об изменениях.
● Заключение договоров с третьими лицами, привлекаемыми к обработке ПД. Оформите договорные отношения со всеми контрагентами, осуществляющими обработку ПД по вашему поручению, четко определив их обязанности и ответственность за соблюдение требований 152-ФЗ.
● Уведомление Роскомнадзора о трансграничной передаче данных и регистрация в Реестре трансграничных передач. При необходимости осуществления трансграничной передачи ПД своевременно направьте уведомление в Роскомнадзор и пройдите процедуру регистрации.
● Разработка регламента реагирования на инциденты и формы уведомления об утечке ПД (в течение 24 часов). Подготовьте четкий алгоритм действий в случае утечки персональных данных и разработайте форму уведомления, обеспечивающую оперативное информирование Роскомнадзора (в течение 24 часов).
● Пересмотр договоров с иностранными контрагентами в соответствии с новыми требованиями закона. Внесите в договоры с иностранными партнерами и SLA положения о защите ПД в соответствии с российским законодательством и обязательства по уведомлению об инцидентах в течение 24 часов.
● Проведение пентеста и независимого аудита на соответствие требованиям 152-ФЗ (рекомендуем). Оцените текущий уровень защиты ПД и выявите потенциальные уязвимости с помощью привлеченного внешнего консультанта.
● Выбор оптимального способа локализации ПД для вашей организации. Определите подходящий метод локализации данных с учетом специфики бизнеса и технических возможностей.
@ Freepic на основании лицензии INV-C-2024-8250540
Варианты действий
Итак, новые правила защиты персональных данных требуют, чтобы информация о россиянах хранилась на территории страны. Перед бизнесом встает вопрос: как этого добиться? Есть три основных варианта, каждый со своими плюсами и минусами.
– Полный перенос баз данных в Россию
Берем и переносим все базы с персональными данными в российские дата-центры.
Плюсы:
● самый безопасный вариант с юридической точки зрения – минимум шансов столкнуться со штрафами;
● легче общаться с Роскомнадзором, когда нужно что-то объяснить.
Минусы:
● дорого и сложно — придется потратиться на новое оборудование, лицензии, каналы связи;
● текущие расходы тоже вырастут на 10-30%.
– Разделение и миграция баз данных
Отделяем «российскую» часть данных от остального объема и перевозим только ее в Россию.
Плюсы:
● дешевле, чем полный переезд;
● внедрить можно быстрее.
Минусы:
● легче наделать ошибок при настройке;
● сложнее доказать Роскомнадзору, что вы все сделали правильно.
– Использование зарубежных сервисов для передачи данных
Используем иностранные сервисы (например, платформы для общения с клиентами), но только для передачи данных, а не для их сбора. Важно, чтобы сервис не хранил персональные данные и соответствовал российским законам.
Скорее всего, оптимальным будет гибридный подход – когда вы комбинируете разные способы. Это обычно и быстрее, и дешевле. Но если вы работаете в сфере, где риски особенно высоки (например, финансы или здравоохранение), лучше все-таки выбрать полный переезд – так надежнее.
Читайте также: Как e-commerce и ритейлу работать с персональными данными после изменений в законодательстве
Готов ли бизнес к новым требованиям?
Результаты опроса РАЭК, проведенного в апреле 2025 года, и данные DV Consulting рисуют следующую картину:
● Крупный бизнес (топ-100 корпораций) — уровень готовности приближается к 80%. Многие компании завершили миграционные проекты, хотя некоторые используют гибридные решения, требующие дополнительной аттестации.
● Средний бизнес (500+ сотрудников) — общая готовность составляет около 55%. На момент опроса основная работа по подготовке документации и подаче уведомлений находилась в завершающей стадии.
● Малый бизнес и digital-агентства — уровень готовности оценивается примерно в 35%. Основным препятствием остаются значительные капитальные затраты на обновление инфраструктуры и приобретение компетенций в области шифрования трафика.
Штрафы за опоздания
Что ждет компании, не успевшие подготовиться к новым требованиям по защите персональных данных к 1 июля 2025 года?
Последствия могут быть весьма серьезными:
штрафы (за первую утечку данных – совокупно до 7 млн рублей, за повторную утечку – до 3% от годовой выручки);
➔ блокировка сайта или приложения до устранения выявленных нарушений;
➔ репутационные потери и отток клиентов (по оценкам маркетплейсов, переживших блокировки в 2024 году, отток пользователей может достигать 5-15%).
С 30 мая 2025 года Федеральным законом №420 введены оборотные штрафы за утечки ПД, размер которых привязан к доходу компании. Допустившие небрежное обращение с данными организации и ИП могут получить штраф от 3 до 15 млн рублей в зависимости от количества пострадавших граждан. За повторные нарушения штраф составит минимум 3% от годовой выручки (но не менее 20 млн рублей), а максимальная сумма может достигать 500 млн рублей.
С декабря 2024 года действует уголовная ответственность за незаконное обращение с персональными данными. В частности, за утечку конфиденциальной информации за рубеж предусмотрено лишение свободы сроком до 8 лет (ч.4 ст.272.1 УК РФ).
Оптимизация подготовки: внешний аудит
Для эффективного анализа бизнес-процессов и выявления потенциальных рисков рекомендуем провести внешний аудит. Это позволит сэкономить до 40% времени внутренней команды. Комплексный аудит от сторонней организации обходится на 25-40% дешевле, чем формирование особой группы из сотрудников компании.
При выборе внешнего консультанта обратите внимание на следующие факторы:
● портфолио по 152-ФЗ — не менее 15 завершенных кейсов за последние два года;
● наличие четкого бэклога работ — перечня контрольных точек, дедлайнов, KPI проекта;
● положительные отзывы от компаний с аналогичной целевой аудиторией;
● наличие готовых чек-листов, шаблонов согласий и регламентов реагирования, принятых Роскомнадзором.
Подготовка к новым требованиям 152-ФЗ – это не просто соблюдение закона, а инвестиция в безопасность данных, репутацию компании и долгосрочный успех бизнеса. Не откладывайте необходимые меры на последний момент, чтобы избежать серьезных финансовых и репутационных потерь.
Даниил Царьков,
руководитель направления юридических услуг
группы компаний DV Consulting.
Для NEW RETAIL
0
Читайте также
Последние новости
Самое популярное
-
Маршрут построен: как развивать объект коммерческой недвижимости с помощью эконо...
-
Удержание через технологии: как приложения для обучения и адаптации помогают бор...
-
Digital Signage: как цифровые POS улучшают контакт с покупателями и повышают узн...
-
От чат-ботов к системным ассистентам: почему ИИ в ритейле не работает на полную ...
-
Как ресторану поднять выручку в сложные времена – стратегии от собственника сети...
